- Door
- Redactie
- geplaatst op
- 29 juli 2015 08:00 uur
Een aantal weken geleden schreven wij dat Telegram vind dat hosters sneller moeten reageren op uitgaande DDoS aanvallen. In het bericht klagen zij over het feit dat veel hosters alleen maar bereikbaar zijn van 9 tot 5, ook als het om abuse-meldingen gaat. Wij vroegen Reasonnet, TransIP, NFOrce en Amsio naar hun abuse-procedure.
Hoe kunnen partijen abuse meldingen bij jullie doen en hoe werkt jullie abuse-procedure?
Tim Semeijn van TransIP geeft aan dat abuse-meldingen per e-mail ingestuurd kunnen worden naar het speciaal abuse e-mailadres. Ook komen abuse-meldingen binnen via de reguliere support kanalen (mail en ticket systeem). Bij het ontvangen van abuse meldingen controleert TransIP de gemelde activiteit in hoeverre dit mogelijk is. “Bij phishing bijvoorbeeld is het checken of de URLs in kwestie nog actief zijn, hier een onderdeel van. De abuse-melding wordt vervolgens direct per mail doorgestuurd en via het ticketsysteem naar de klant die de dienst in beheer heeft. Wanneer de klant gepaste actie onderneemt om het probleem te verhelpen, zien wij de abuse-melding als afgehandeld. Mochten wij echter binnen afzienbare tijd geen terugkoppeling of actie terugzien, dan kunnen wij overgaan tot (tijdelijke) blokkering van de dienst of het instellen van beperkingen.
Ook bij Amsio is de reguliere weg om een abuse-melding te doen een mail sturen naar de abuse-mailbox, deze wordt actief in de gaten gehouden, ook buiten kantoortijden. Er kan ook telefonisch contact worden opgenomen, maar meestal is per mail sneller en effectiever omdat daar ook direct eventuele aanwijzingen of bewijslast in kan worden meegestuurd.” Ruben van der Zwan geeft aan dat abuse-afhandeling en -detectie een actief proces is. “Dit wordt 24×7 in de gaten gehouden en behandeld. Tijdens kantooruren door het operationele team, en buiten kantoortijden door de personen die rouleren in after hour support. Binnen onze ISO27001 certificering is dit abuse-afhandelingsproces ook vastgelegd.”
Bij NFOrce verschilt het per soort melding. Pieter Taks vertelt dat abuse-meldingen per post, e-mail en telefoon gedaan kunnen worden als het om standaard abuse zoals DMCA gaat. “Alle abuse-mails laten wij door “echte mensen” beoordelen, verwerken en in de meeste gevallen doorsturen naar de verantwoordelijke klant. Daarnaast houden wij voor een bepaalde tijd deze meldingen nog in de gaten om te kijken of ze naar behoren worden opgepakt. Wij hebben monitoring devices in ons netwerk die grotere DDoS-aanvallen melden bij ons NOC team. Daarnaast monitoren wij vanuit het NOC ons hele netwerk core topology en filteren wij ons netwerk ter voorkoming van spoofing attacks vanuit ons netwerk.”
Ook Reasonnet maakt gebruik van een speciaal abuse-emailadres. “Als een abuse-melding door een derde partij wordt gedaan, al dan niet door een automatische spammelder, dan wordt de melding doorgestuurd en geregistreerd. Mocht hetzelfde IP of dezelfde bron meerdere malen voorkomen in een korte periode, wordt een aparte actie uitgezet om herhaling te voorkomen. Meldingen van persoonlijke aard worden persoonlijk beantwoord, meldingen van bots worden over het algemeen direct gesloten na doorsturen naar de klant”, aldus Martin Prins van Reasonnet.
Hoe snel behandelen jullie abuse-meldingen? Stel dat er op zaterdagavond om 23:00 uur een melding van een uitgaande DDoS-aanval bij jullie wordt gemaakt door een derde partij, hoe snel reageren jullie daar dan op?
Martin Prins vertelt dat bij Reasonnet simpele abuse-meldingen (spam, phishing, etc) ’s nachts worden behandeld. “De complexe zaken en eigen systemen worden overdag (al dan niet samen met de klant) opgepakt en opgelost. Bij grotere problemen als kinderporno wordt de legal department ingeschakeld door de abuse-officer. In principe worden uitgaande DDoS-aanvallen die zaterdagavond laat plaatsvinden dus dezelfde nacht afgehandeld, tenzij het een complex probleem is waar meerdere partijen voor nodig zijn.”
Ook bij NFOrce worden abuse-meldingen 24/7 opgepakt. “Urgente abuse gemeld worden direct 24×7 opgepakt, response is dan nagenoeg instant. Als er per email of telefonisch een abuse-melding gedaan is, wordt dit aan onze NOC gemeld, dan zal er binnen 30 minuten een NOC engineer mee bezig zijn. Afhankelijk van de response van de melder bij vragen met betrekking tot logfiles, IP-adressen en afhankelijk van de urgentie van de melding kunnen we -indien gewenst- tijdelijk filtering opzetten”, aldus Pieter Taks.
Ruben van der Zwan vertelt dat bij Amsio de snelheid waarmee een melding wordt afgehandeld, afhangt van de aard en ernst van de melding. “Voor een aantal klanten waar abuse wat vaker bij voorkomt, is het één en ander geautomatiseerd. Dat betekent dat phishingsites of spamruns automatisch offline worden gezet of worden geblokkeerd. Op die manier is er geen manuele handeling nodig. De phishingsite wordt offline gezet, de klant (die meestal van niets weet) wordt op de hoogte gebracht. Klanten kunnen ons 24 uur per dag bereiken als ze vermoeden dat er iets met hun webomgeving of infrastructuur aan de hand is, dus ook bij abuse. Het detecteren van DDoS-aanvallen wordt gedaan door speciale software die we op strategische plekken in ons netwerk draaien. Deze detecteren we dus direct. Omdat dit ons netwerk “vervuilt” en omdat andere partijen last hebben van deze aanvallen, is het voor ons belangrijk hier direct op te reageren. Dat betekent dus ook dat wij meldingen van DDoS-aanvallen, zowel in- als uitgaand, 24 uur per dag direct oppakken. Hoe we ermee omgaan, hangt ook af van de dienst die de klant heeft afgenomen. We hebben een speciale anti-DDoS-dienst, maar deze wordt niet door alle klanten afgenomen. Helaas is het afvangen van DDoS-aanvallen niet alleen arbeids-, maar ook resource-intensief als je kijkt naar wat er voor apparatuur en systemen nodig is, dus daar zijn wel kosten aan verbonden. Als de klant onze anti-DDoS-dienst heeft afgenomen, doen we er alles aan om de klant ‘online’ te houden. Dat houdt in dat ook bij een uitgaande DDoS we controleren of de server misbruikt wordt door een derde (dan weet de klant van niets) en of we er iets aan kunnen doen zonder de omgeving direct offline te zetten.”
“Abuse-meldingen hebben bij ons hoge prioriteit en wij handelen deze gedurende kantooruren binnen enkele minuten af. In de avonden en weekenden kan de verwerking soms enige uren in beslag nemen. Wij monitoren ons gehele netwerk 24/7 op verdachte verkeerspatronen en DDoS-aanvallen worden dan ook vaak direct opgemerkt door onze technische dienst. Zij ondernemen hier dan ook direct gepaste actie op. Wanneer een aanval qua dataverkeer onder een bepaalde limiet blijft dan wordt deze soms niet direct opgemerkt. Wij handelen de abuse-melding die bijvoorbeeld op zaterdag om 23.00 uur verstuurd is dan direct op zondag af”, vertelt Tim Semeijn van TransIP.
Is er verder nog iets dat interessant is om te vertellen over jullie abuse-procedure?
TransIP: “Abuse-meldingen worden uiterst serieus genomen, echter verliezen wij nooit de belangen van onze klanten uit het oog. Zaken als het verstrekken van persoonlijke gegevens van klanten aan melders doen wij dan ook nooit zonder gerechtelijk bevel, onze klant staat voorop en wij gaan altijd uit van het idee dat zij de abuse niet moedwillig veroorzaken. Wij trachten dan ook altijd de balans te vinden tussen het correct de kop in drukken van abuse en daarnaast ook onze klanten de eerlijk en professionele behandeling te bieden die zij verdienen.”
Reasonnet: “De procedure is recht-toe-recht-aan maar in verband met onze gewijzigde focus, is de procedure uitgekleed ten opzichte van een paar jaar geleden. Nu wordt er minder gekeken naar een issue en of er herhalende problemen zijn. De hoeveelheid lijkt af te nemen, de verscheidenheid neemt toe.”
NFOrce: “In het geval van Telegram heeft Telegram geen telefonisch contact gezocht of contact met onze NOC opgenomen. Wij hebben een standaard abuse-melding gekregen zonder enige logfiles.”
[advpoll id=”146″ title=”Vraag van de dag” width=”100%”]